Konfigurieren von Windows Hello for Business
In diesem Artikel werden die Optionen zum Konfigurieren von Windows Hello for Business in einer Organisation und deren Implementierung beschrieben.
Konfigurationsoptionen
Sie können Windows Hello for Business mithilfe der folgenden Optionen konfigurieren:
- Konfigurationsdienstanbieter (Configuration Service Provider, CSP): Wird häufig für Geräte verwendet, die von einer MDM-Lösung (Mobile Device Management) verwaltet werden, z. B. Microsoft Intune. CSPs können auch mit Bereitstellungspaketen konfiguriert werden, die normalerweise zur Bereitstellungszeit oder für nicht verwaltete Geräte verwendet werden. Verwenden Sie zum Konfigurieren von Windows Hello for Business den PassportForWork-CSP.
- Gruppenrichtlinie (GPO): Wird für Geräte verwendet, die in Active Directory oder in Microsoft Entra hybrid eingebunden sind und nicht von einer Geräteverwaltungslösung verwaltet werden.
Richtlinienrangfolge
Einige der Windows Hello for Business-Richtlinien sind sowohl für die Computer- als auch für die Benutzerkonfiguration verfügbar. In der folgenden Liste wird die Richtlinienrangfolge für Windows Hello for Business beschrieben:
- Benutzerrichtlinien haben Vorrang vor Computerrichtlinien. Wenn eine Benutzerrichtlinie festgelegt ist, wird die entsprechende Computerrichtlinie ignoriert. Wenn keine Benutzerrichtlinie festgelegt ist, wird die Computerrichtlinie verwendet.
- Windows Hello for Business-Richtlinieneinstellungen werden mithilfe der folgenden Hierarchie erzwungen:
- Benutzer – Gruppenrichtlinienobjekt
- Computer – Gruppenrichtlinienobjekt
- User – PassportForWork CSP
- Gerät – PassportForWork CSP
- Exchange Active Sync – DeviceLock CSP
Wichtig
Wenn Sie kennwortlängen- und komplexitätseinstellungen konfigurieren, die vom DeviceLock-CSP definiert sind, sowie pin-längen- und komplexitätseinstellungen, die vom PassportForWork-CSP definiert werden, erzwingt Windows die strengste Richtlinie aus dem Satz der regelnden Richtlinien.
Der DeviceLock-CSP verwendet die Exchange ActiveSync-Richtlinie (EAS)-Engine. Weitere Informationen finden Sie unter Übersicht über die Exchange ActiveSync-Richtlinien-Engine.
Hinweis
Wenn eine Richtlinie nicht explizit so konfiguriert ist, dass Buchstaben oder Sonderzeichen erforderlich sind, können Benutzer optional eine alphanumerische PIN festlegen.
Abrufen der Microsoft Entra-Mandanten-ID
Die Konfiguration über CSP oder Registrierung verschiedener Windows Hello for Business-Richtlinieneinstellungen erfordert die Angabe der Microsoft Entra-Mandanten-ID, in der das Gerät registriert ist.
Informationen zum Nachschlagen Ihrer Mandanten-ID finden Sie unter Suchen Ihrer Microsoft Entra-Mandanten-ID , oder versuchen Sie Folgendes, um sicherzustellen, dass Sie sich mit dem Konto Ihrer Organisation anmelden:
GET https://graph.microsoft.com/v1.0/organization?$select=id
In der PassportForWork-CSP-Dokumentation wird beispielsweise beschrieben, wie Windows Hello for Business-Optionen mithilfe des OMA-URI konfiguriert werden:
./Device/Vendor/MSFT/PassportForWork/{TenantId}
Ersetzen TenantID
Sie beim Konfigurieren von Geräten durch Ihre Microsoft Entra-Mandanten-ID. Wenn Ihre Microsoft Entra-Mandanten-ID beispielsweise lautet dcd219dd-bc68-4b9b-bf0b-4a33a796be35
, würde der OMA-URI wie folgt aussehen:
./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}
Konfigurieren von Windows Hello for Business mit Microsoft Intune
Für in Microsoft Entra eingebundene Geräte und in Intune registrierte hybrid eingebundene Microsoft Entra-Geräte können Sie Intune-Richtlinien verwenden, um Windows Hello for Business zu verwalten.
Es gibt verschiedene Möglichkeiten, Windows Hello for Business in Intune zu aktivieren und zu konfigurieren:
- Verwenden einer Richtlinie, die auf Mandantenebene angewendet wird. Die Mandantenrichtlinie:
- Wird nur zum Zeitpunkt der Registrierung angewendet, und alle Änderungen an der Konfiguration gelten nicht für Geräte, die bereits bei Intune registriert sind.
- Dies gilt für alle Geräte , die bei Intune registriert werden. Aus diesem Grund ist die Richtlinie in der Regel deaktiviert, und Windows Hello for Business wird mithilfe einer Richtlinie aktiviert, die auf eine Sicherheitsgruppe ausgerichtet ist.
- Eine Gerätekonfigurationsrichtlinie, die nach der Geräteregistrierung angewendet wird. Alle Änderungen an der Richtlinie werden während regelmäßiger Richtlinienaktualisierungsintervalle auf die Geräte angewendet. Es stehen verschiedene Richtlinientypen zur Auswahl:
Überprüfen der mandantenweiten Richtlinie
So überprüfen Sie die Richtlinieneinstellungen für Windows Hello for Business, die zum Zeitpunkt der Registrierung angewendet wurden:
- Anmelden beim Microsoft Intune Admin Center
- Wählen Sie Geräte>Windows>Windows-Registrierung aus.
- Auswählen von Windows Hello for Business
- Überprüfen Sie den Status von Windows Hello for Business konfigurieren und alle Einstellungen, die möglicherweise konfiguriert werden.
Richtlinienkonflikte aus mehreren Richtlinienquellen
Windows Hello for Business kann durch GPO oder CSP konfiguriert werden, aber keine Kombination aus beidem. Vermeiden Sie die Vermischung von GPO- und CSP-Richtlinieneinstellungen für Windows Hello for Business, da dies zu unerwarteten Ergebnissen führen kann. Wenn Sie GPO- und CSP-Richtlinieneinstellungen kombinieren, werden die in Konflikt stehenden CSP-Einstellungen erst angewendet, wenn die Gruppenrichtlinieneinstellungen gelöscht sind.
Wichtig
Die Richtlinieneinstellung MDMWinsOverGP gilt nicht für Windows Hello for Business. MDMWinsOverGP gilt nur für Richtlinien im Richtlinien-CSP, während sich die Windows Hello for Business-Richtlinien im PassportForWork-CSP befinden.
Hinweis
Weitere Informationen zum Bereitstellen der Windows Hello for Business-Konfiguration mithilfe von Microsoft Intune finden Sie unter Windows-Geräteeinstellungen zum Aktivieren von Windows Hello for Business in Intune und PassportForWork CSP.
Deaktivieren der Windows Hello for Business-Registrierung
Windows Hello for Business ist standardmäßig für Geräte aktiviert, die in Microsoft Entra eingebunden sind. Wenn Sie die automatische Aktivierung deaktivieren müssen, gibt es verschiedene Optionen, darunter:
- Deaktivieren von Windows Hello mithilfe der mandantenweiten Richtlinie
- Deaktivieren Sie sie mithilfe eines der in Intune verfügbaren Richtlinientypen, während Sie die Registrierungsstatusseite (ESP) aktivieren. Die ESP kann so konfiguriert werden, dass ein Benutzer nicht auf den Desktop zugreifen kann, bis das Gerät alle erforderlichen Richtlinien erhält. Weitere Informationen finden Sie unter Einrichten der Seite "Registrierungsstatus". Die zu konfigurierende Richtlinieneinstellung lautet Windows Hello for Business verwenden.
- Stellen Sie die Geräte mithilfe eines Bereitstellungspakets bereit, das Windows Hello for Business deaktiviert. Weitere Informationen finden Sie unter Bereitstellen von Paketen für Windows.
- Skriptlösungen, die die Registrierungseinstellungen ändern können, um Windows Hello for Business während der Betriebssystembereitstellung zu deaktivieren
Konfigurationstyp | Details |
---|---|
CSP (Benutzer) |
Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\Policies Schlüsselname: UsePassportForWork Typ: REG_DWORD Wert: 1 so aktivieren Sie0 , um zu deaktivieren |
CSP (Gerät) |
Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\Policies Schlüsselname: UsePassportForWork Typ: REG_DWORD Wert: 1 so aktivieren Sie0 , um zu deaktivieren |
GPO (Benutzer) |
Schlüsselpfad: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWork Schlüsselname: Enabled Typ: REG_DWORD Wert: 1 so aktivieren Sie0 , um zu deaktivieren |
GPO (Benutzer) |
Schlüsselpfad: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork Schlüsselname: Enabled Typ: REG_DWORD Wert: 1 so aktivieren Sie0 , um zu deaktivieren |
Hinweis
Wenn eine Geräte- und Benutzerrichtlinie in Konflikt steht, hat die Benutzerrichtlinie Vorrang. Es wird nicht empfohlen, lokales Gruppenrichtlinienobjekt oder Registrierungseinstellungen zu erstellen, die mit einer MDM-Richtlinie in Konflikt treten könnten. Dieser Konflikt kann zu unerwarteten Ergebnissen führen.
Nächste Schritte
Eine Liste der Windows Hello for Business-Richtlinieneinstellungen finden Sie unter Windows Hello for Business-Richtlinieneinstellungen.
Weitere Informationen zu Windows Hello for Business-Features und deren Konfiguration finden Sie unter: